O documento discute técnicas de perícia digital, incluindo coleta de evidências voláteis e não voláteis de computadores suspeitos, uso de ferramentas forenses de software e hardware, e análise de dados como processos, tráfego de rede e arquivos do sistema para investigação de crimes digitais.

1. Forense Computacional Renan Wiezel Battaglin Carlos Santos Leonardo Scanferla Amaral UNICAMP - Universidade Estadual de Campinas

2. Agradecimento :-) Agradecimento especial à Polícia Federal pela colaboração na investigação dos mistérios da computação forense UNICAMP - Universidade Estadual de Campinas

3. Agenda Agradecimento Introdução Aspectos Legais Técnicas da Forense Computacional Ferramentas Forenses Software Hardware Coleta e Exame de Evidências Voláteis Não Voláteis UNICAMP - Universidade Estadual de Campinas

4. Introdução "É a ciência que estuda a aquisição, preservação, recuperação e análise de dados que estão em formato eletrônico e armazenados em algum tipo de mídia computacional." UNICAMP - Universidade Estadual de Campinas Ciência Forense Forense Computacional

5. Incidentes digitais reportados pelo CERT.br UNICAMP - Universidade Estadual de Campinas

6. Aspectos Legais Obtenção de Evidências digitais: informação armazenada ou transmitida em meio digital de valor probatório. A manipulação dessas novas formas de evidências eletrônicas devem ser aceitas em juízo. Hackers brasileiros: os mais ativos do mundo. A ausência de uma legislação específica para esse tipo de crime e o descaso das empresas em descobrir o responsável pelo delito. Falta de legislação específica: utilização de normas gerais, que se aplicam a todo tipo de perícia UNICAMP - Universidade Estadual de Campinas

7. Crimes Mais Comuns Obtenção de informações (roubo de segredos, números de cartões de crédito, senhas, etc); Promover algum estrago ("pichação" de sites, destruição de informações e paralisações do sistema); Utilização dos recursos do sistema (como repositório de dados, para disseminação de ataques distribuídos ou para provimento de algum serviço); Tráfico de material proibido (comunicação referente a tráfico de drogas, pedofilia, etc). UNICAMP - Universidade Estadual de Campinas

8. Evidência Digital Campos magnéticos e pulsos eletrônicos que podem ser coletados e analisados através de técnicas e ferramentas apropriadas. CPU (registradores e caches) Memória de periféricos (memória de vídeo, por exemplo) Memória principal do sistema Tráfego de rede Estado do sistema operacional (como, por exemplo, estado das conexões de rede e dos processos em execução, usuários logados e tabelas e módulos do sistema) Dispositivos de armazenagem secundária. Quantidade de evidências deixadas é inversamente proporcional à habilidade do criminoso (Técnicas Anti-Forense). O investigador/perito tem que pensar como um criminoso UNICAMP - Universidade Estadual de Campinas

9. Técnicas da Forense Computacional UNICAMP - Universidade Estadual de Campinas

10. Coleta: Acesso aos Dados Mandado de busca Obter informações sobre o sistema Garantir a autenticidade e integridade das evidências coletadas Aumentar a probabilidade de dois investigadores chegarem às mesmas conclusões ao examinarem as mesmas evidências Cópias das evidências originais devem ser produzidas e, sempre que possível, a investigação deve ser conduzida sobre as cópias As ferramentas (hardware e software) devem ser amplamente aceitas na área UNICAMP - Universidade Estadual de Campinas

11. Exame: Organizar os Dados Perigo: perda e alteração Qualquer atividade executada diretamente no sistema suspeito não deve utilizar os programas nele encontrados (os binários podem não ser originais) Autenticar, identificar, catalogar e preservar cada item coletado Tratar cada informação como se ela fosse ser usada para fins judiciais UNICAMP - Universidade Estadual de Campinas

12. Análise: Montar o Quebra Cabeça Buscar evidências e formular conclusões Identificar características anormais e indevidas Pensar como o atacante e tentar construir um Time Line Os procedimentos devem ser aceitos pela comunidade científica. Documentação da cadeia de custódia Criar base para uma ação judicial Obtenção de novas soluções de segurança UNICAMP - Universidade Estadual de Campinas

13. Resultados: Uso Legal Provar para o Juiz que a Cadeia de Custódia foi respeitada Apresentar conclusões da Análise Esclarecer dúvidas sobre o laudo (Bastante comum) Atender à solicitação de novas perícias (Esclarecer alguns pontos) UNICAMP - Universidade Estadual de Campinas

14. Ferramentas: Software FDTK-UbuntuBr Asa dd UNICAMP - Universidade Estadual de Campinas

15. UNICAMP - Universidade Estadual de Campinas Ferramentas: Software FDTK-UbuntuBr

16. Coleta de Dados : screenshots, hash criptográfico bit a bit, informação do hardware. Documentação Judicial : Formulário de cadeia de custódia Exame dos dados : comparações, conversões entre formatos, leitores de arquivos com formatos específicos, exame de partições de disco de vários tipos. Análise : Construção de linha do tempo baseada na informação de metadados de arquivos e diretórios (ordem cronológica dos acontecimentos). UNICAMP - Universidade Estadual de Campinas Ferramentas: Software FDTK-UbuntuBr

17. Alguns Exemplos: ddrescue - Copia dados de um dispositivo de arquivos ou blocos para outro dispositivo sleuthkit - Conjunto de comandos UNIX-based para se manipular file systems em investigações forenses. Permite que você examine um computador suspeito de uma forma não intrusiva. Stegdetect - Detecta e extrai menssagens steanografadas em imagens JPEG. chkrootkit - Verifica indícios de rootkits no file system local wireshark - Analisador de tráfego de rede ou "sniffer" UNICAMP - Universidade Estadual de Campinas Ferramentas: Software FDTK-UbuntuBr

18. Ferramentas: Hardware DIBS-USA Kit contendo: Laptop, discos high speed, baterias extras, adaptadores, conectores, cabos, impressora, máquina fotográfica e softwares forenses. UNICAMP - Universidade Estadual de Campinas Mobile Forensis Workstation

19. Ferramentas: Hardware DIBS-USA Capturar, gravar e analisar transmissões wireless em um raio de 4 quilômetros Usado pelas forças armadas UNICAMP - Universidade Estadual de Campinas Aircapture WLAN 14

20. Ferramentas: Hardware DIBS-USA Kit contendo: Dois discos de alta performance, adaptadores, conectores, cabos, ferramentas para hardware e bateria extra. UNICAMP - Universidade Estadual de Campinas RAID - Rapid Action Imaging Device

21. Live analysis X Post-mortem analysis Live analysis – Possibilidade de encontrar dados contaminados; Post-mortem – Maior credibilidade dos dados. Puxar o fio ou não? Se puxar, preserva os dados não-voláteis, mas perde os dados voláteis. Alguns sistemas não podem ser desligados; UNICAMP - Universidade Estadual de Campinas

22. Extração e reprodução dos dados da memória de vídeo: # xwd -display localhost:0 -root > screen.xwd Pode extrair a memória de vídeo remotamente (necessita estar como root) UNICAMP - Universidade Estadual de Campinas Coleta e exame das evidências voláteis

23. # dd if=/dev/mem of=mem.dump bs=1024 # dd if=/dev/kmem of=kmem.dump bs=1024 Contaminação dos dados. Busca de palavras-chave: # grep palavra-chave mem.dump # strings -a mem.dump | grep palavra-chave # strings -a mem.dump | more UNICAMP - Universidade Estadual de Campinas Dump da memória principal

24. Geração e análise de core files O core file de um processo em execução pode ser gerado através do comando kill (deve possuir permissão): # kill -s SIGQUIT pid O comando file pode ser usado para determinar o programa relacionado ao core file, bem como o sinal que causou sua geração (para analisar, pode ser usado strig ou gdb): # file core core: ELF 32-bit LSB core file of 'teste' (signal 11), Intel 80386 UNICAMP - Universidade Estadual de Campinas

25. Captura e exame do tráfego de rede Usando o sniffers Tcpdump: # tcpdump -l -n -e -x -vv -s 1500 # tcpdump -w net.dump # tcpdump -n -e -x -vv -s 1500 -r net.dump # tcpdump -l -n -e -x -vv -s 1500 host 192.168.1.3 # tcpdump -l -n -e -x -vv -s 1500 dst port 22 UNICAMP - Universidade Estadual de Campinas

26. Captura e exame do tráfego de rede Usando o IDS Snort: Como Sniffer: # snort -v -d –e Como IDS: # snort -d -l log_dir -c snort.conf UNICAMP - Universidade Estadual de Campinas

27. Informações dos processos em execução Atividade do sistema: # uptime 9:58am up 1:55, 3 users, load average: 0.14, 0.03, 0.01 Listagem e detalhes dos processos: # ps -auxeww UNICAMP - Universidade Estadual de Campinas

28. Informações dos processos em execução Arquivos acessados: # lsof COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME syslogd 550 root txt REG 3,2 26876 519522 /sbin/syslogd syslogd 550 root 1w REG 3,5 6505198 12259 /var/log/messages syslogd 550 root 2w REG 3,5 127747 12245 /var/log/secure sshd 611 root txt REG 3,2 232412 33315 /usr/sbin/sshd sshd 611 root mem REG 3,2 441668 243478 /lib/ld-2.2.2.so sshd 611 root mem REG 3,2 35352 243560 /lib/libpam.so.0.74 sshd 611 root mem REG 3,2 5578134 243487 /lib/libc-2.2.2.so sshd 611 root 0u CHR 1,3 129949 /dev/null sshd 611 root 3u IPv4 822 TCP *:ssh (LISTEN) UNICAMP - Universidade Estadual de Campinas

29. Informações dos processos em execução Interface /proc: # ls -la /proc/944 total 0 dr-xr-xr-x 3 root root 0 May 14 09:39 . dr-xr-xr-x 55 root root 0 May 14 04:28 .. -r--r--r-- 1 root root 0 May 14 09:39 cmdline lrwxrwxrwx 1 root root 0 May 14 09:39 cwd -> / -r-------- 1 root root 0 May 14 09:39 environ lrwxrwxrwx 1 root root 0 May 14 09:39 exe -> /root/teste dr-x------ 2 root root 0 May 14 09:39 fd -r--r--r-- 1 root root 0 May 14 09:39 maps -rw------- 1 root root 0 May 14 09:39 mem lrwxrwxrwx 1 root root 0 May 14 09:39 root -> / -r--r--r-- 1 root root 0 May 14 09:39 stat -r--r--r-- 1 root root 0 May 14 09:39 statm -r--r--r-- 1 root root 0 May 14 09:39 status UNICAMP - Universidade Estadual de Campinas

30. Estado das conexões de rede Estado das conexões e portas abertas no sistema: # netstat -anpe UNICAMP - Universidade Estadual de Campinas

31. Estado das interfaces de rede # ifconfig –a eth0 Link encap:Ethernet HWaddr 00:30:21:08:8C:CE inet addr:10.1.1.1 Bcast:10.1.1.255 Mask:255.255.255.0 UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 RX packets:0 errors:0 dropped:0 overruns:0 frame:0 TX packets:5 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:100 Interrupt:10 Base address:0xde00 lo Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:68 errors:0 dropped:0 overruns:0 frame:0 TX packets:68 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 UNICAMP - Universidade Estadual de Campinas

32. Usuários logados no sistema #w 3:47pm up 1:46, 5 users, load average: 0.00, 0.00, 0.00 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root tty1 - 3:23pm 23:39 0.21s 0.15s –bash root pts/0 - 3:11pm 35:46 0.04s 0.04s /bin/cat root pts/1 - 3:12pm 0.00s 11.56s 0.03s w root pts/2 - 3:24pm 22:45 0.09s 0.09s /bin/bash UNICAMP - Universidade Estadual de Campinas

33. Módulos de kernel carregados #lsmod Module Size Used by serial_cs 5040 0 (unused) pcnet_cs 10052 1 8390 5860 0 [pcnet_cs] ds 6088 2 [serial_cs pcnet_cs] i82365 21276 2 pcmcia_core 43424 0 [serial_cs pcnet_cs ds i82365] bsd_comp 3620 0 UNICAMP - Universidade Estadual de Campinas

34. Módulos de kernel carregados # ./kstat -M Module Address knull 0xc283a000 oMBRa 0xc2838000 serial_cs 0xc2835000 pcnet_cs 0xc282f000 8390 0xc282c000 ds 0xc2827000 i82365 0xc281c000 pcmcia_core 0xc2810000 bsd_comp 0xc280e000 UNICAMP - Universidade Estadual de Campinas

35. Verificando a tabela de chamadas do sistema # kstat -s 0 SysCall Address sys_exit 0xc011608c sys_fork 0xc0107668 sys_read 0xc5801230 WARNING! should be at 0xc011356c sys_query_module 0xd5809060 WARNING! should be at 0xc01169e0 # kstat -s 1 Restoring system calls addresses... UNICAMP - Universidade Estadual de Campinas

36. Coleta e Exame de Dados Não-Voláteis Informações escondidas ou deletadas - Partições estendidas e lógicas - File slacks Preparação do sistema de arquivos Estruturas internas ao sistema de arquivos - Inodes - Entradas de diretório - Mactimes - Dados deletados UNICAMP - Universidade Estadual de Campinas

37. Partições estendidas e lógicas UNICAMP - Universidade Estadual de Campinas

38. Partições estendidas e lógicas Edição da tabela de partições BIOS não suporta geometria do disco Partições lógicas não ocupam partição estendida Existência do programa de análise de partições Sistema de arquivos x tamanho da partição Alteração do programa de análise das partições UNICAMP - Universidade Estadual de Campinas

39. Partições estendidas e lógicas Ferramenta dd (Disk Definition) # dd if=hda.dd of=unusedSectors.dd bs=512 skip=1 count=62 Ferramenta unrm (The Coroner's Toolkit) – recupera todas as regiões não acessíveis do disco # unrm hda2.dd > unallocated.unrm UNICAMP - Universidade Estadual de Campinas

40. File slacks Arquivos são armazenados em blocos de tamanho fixo (clusters) Clusters são blocos de setores DOS, Windows 95 e Windows-NT - RAM slacks - Drive slacks Exemplo: # md5sum -b /etc/passwd # echo "Hello World" | bmap -mode putslack /etc/passwd # md5sum -b /etc/passwd # bmap -mode slack /etc/passwd UNICAMP - Universidade Estadual de Campinas

41. Preparação do sistema de arquivos Espelhamento do disco suspeito Imagem individual da partição Imagem de todo o disco suspeito sfdisk losetup (loopback device) mount (ro, noexec, nodev) UNICAMP - Universidade Estadual de Campinas

42. Estruturas internas ao sistema de arquivos Inodes UNICAMP - Universidade Estadual de Campinas

43. Inodes Ferramenta stat # stat /var/log/messages Ferramenta istat (TCTUTIL) # istat /dev/hda2 2 Ferramenta bcat # bcat -h /dev/hda2 511 UNICAMP - Universidade Estadual de Campinas

44. Entradas de diretório Ferramenta fls (interpreta automaticamente dados de um bloco) # fls /dev/hda2 441130 r 441157: teste r 441159: teste.c d 457411: frames r * 441337: files UNICAMP - Universidade Estadual de Campinas

45. Mactimes Ferramenta mactime (cria linha temporal) UNICAMP - Universidade Estadual de Campinas

46. Dados deletados # ils /dev/hda2 10 | ils2mac > inode_info # mactime -b inode_info 7/25/2002 Jul 25 02 11:40:29 6 ma. -rw-r--r-- root root <hda2-dead-10> Jul 25 02 11:40:30 6 ..c -rw-r--r-- root root <hda2-dead-10> # icat /dev/hda2 10 Hello World UNICAMP - Universidade Estadual de Campinas

47. OBRIGADO! UNICAMP - Universidade Estadual de Campinas